社會工程定義
社會工程是一種利用人為錯誤來獲得私人資訊、存取權限或貴重物品的操控技術。在網絡犯罪中,這些「人類黑客」詐騙行為通往會引誘沒有戒心的使用者暴露數據、傳播惡意軟件感染更多設備或提供受限制系統的存取權限。攻擊可以發生在網上、面對面和透過其他互動。
社會工程詐騙之構成主要是針對人們的思維和行為方式。因此,社會工程攻擊最有利於操控使用者的行為。一旦攻擊者瞭解使用者行為的動機,他們就可以有效地欺騙和操控使用者。
此外,黑客也會嘗試利用使用者缺乏知識這個弱點。由於科技的迅速發展,很多消費者和員工並不知道某些威脅,例如偷渡式下載。使用者也可能沒有意識到個人資料的全部價值,例如他們的電話號碼。因此,很多使用者都不確定如何最好地保護自己及其資訊。
通常,社會工程攻擊者的目前是以下兩者之一:
1. 破壞:擾亂或破壞資料以造成傷害或不便。
2. 盜竊:獲取資訊、存取權限或金錢等有價值物品。
社會工程的定義可以透過確切瞭解它的運作方式來進一步擴展其含意。
社會工程如何運作?
大多數社會工程攻擊的依賴攻擊者與其受害者之間的實際溝通。攻擊者通常會促使使用者作出某方面的妥協,而非使用暴力方法來入侵你的資料。
攻擊週期為這些犯罪分子提供一個對你進行欺騙的可靠過程。社會工程攻擊週期的步驟通常如下:
1. 準備 -- 收集你或你所屬的一個更大群體的背景資訊。
2. 滲透 -- 首先獲得你的信任,然後與你建立關係或進行互動。
3. 利用受害者 -- 一旦建立了信任和找出你的弱點,就會進行攻擊。
4. 脫離 -- 當使用者採取了所需的行動,攻擊者就會與其脫離。
這個過程可以透過一封電子郵件進行,也可以是持續數個月的一連串社交媒體對話。甚至可以是面對面的互動。但最終會以你採取某個特定行動而結束,例如分享你的資訊或受到惡意軟件感染。
最重要的是要提防社會工程作為一種混淆的手段。很多員工和消費者都沒有意識到,黑客只需幾項資訊就可以存取多個網絡和帳戶。
透過偽裝成 IT 支援的正當工作人員,他們竊取你的私人詳細資訊,例如姓名、出生日期或地址。之後,他們就可以輕鬆地重設密碼並獲得幾乎無限制的存取權限。他們可以竊取金錢、散佈社會工程惡意軟件等等。
社會工程攻擊的特徵
社會工程攻擊主要是攻擊者運用說服力和信心。當接觸到這些戰術時,你便有可能採取你本來不會採取的某些行動。
在大多數攻擊中,你會發現自己被誤導做出以下行為:
情緒高漲:情緒操控可讓攻擊者在任何互動中佔上風。當情緒狀高漲時,你更有可能採取非理性或冒險的行為。以下各種被運用的情緒同樣是為了說服你。
- 恐懼
- 興奮
- 好奇
- 憤怒
- 內疚
- 悲傷
緊迫性:攻擊者的武器庫中的另一種可靠工具是對時間敏感的機會或請求。攻擊者可能會利用需要立即關注的嚴重問題作為幌子而令你作出某些妥協。或者,他們可能會向你提供獎品或獎勵,如果你不迅速採取行動,就無法獲得這些獎品或獎勵。任何一種方法都會干擾你的批判性思維能力。
信任:可信度是社會工程攻擊的非常寶貴和重要元素。由於攻擊者的最終目的是要欺騙你,所以你的信心在種攻擊中發揮著重要的作用。他們已經對你進行了足夠的研究,從而編製了一個可信且不太可能引起懷疑的敘述。
在這些特徵中也存在著一些例外的情況。在某些情況下,攻擊者使用更加簡單的社會工程方法來獲得網絡或電腦的存取權限。例如,黑客可能會經常光顧大型辦公大樓的公共美食廣場,並偷看(shoulder surf)使用者在平板電腦或手提電腦上的內容。這種方法可能讓攻擊者在無需發送電子郵件或編寫病毒程式的情況下獲得大量密碼和使用者名稱。
現在你已有基本概念,你可能想知道「甚麼是社會工程攻擊,我如何可以發現它?」
社會工程攻擊的類型
幾乎每種類型的網絡安全攻擊都包含某種形式的社會工程。例如,典型的電子郵件和病毒詐騙充滿了各種社交元素。
除了桌面設備之外,社交工程還可以透過手機攻擊以碼數方式對你造成影響。但是,你也很容易在面對面的情況下受到威脅。這些攻擊可以是互相重疊或接連出現來創造一個騙局。
以下是社會工程攻擊者的一些常用方法:
網絡釣魚攻擊
網絡釣魚攻擊者會偽裝成值得信任的機構或個人,並嘗試說服你暴露個人資料和其他貴重物品。
網絡釣魚攻擊會利用以下兩種方式之一:
- 垃圾郵件網絡釣魚或大規模網絡釣魚是一種針對很多使用者的廣泛攻擊。這些攻擊是並非針對個人,而是嘗試捕捉任何毫無戒心的人。
- 魚叉式網絡釣魚及其延伸的捕鯨方法,都是用利個人資訊來針對特定使用者。捕鯨攻擊專門針對名人、高層管理人員和高級政府官員等高價值的目標。
無論是直接通訊還是透過虛假網站的表格,你所分享的任何內容都會直接成為詐騙者的囊中之物。你甚至可能被欺騙下載惡意軟件,掉進下一階段的網絡釣魚攻擊中。每種網絡釣魚中使用的方法都有獨特的傳遞方式,包括但不限於:
語音網絡釣魚(vishing)的來電可能涉及會記錄你的所有輸入資料的自動消息系統。有時,可能會有真人與你交談,以增加你的信任程度和事情的緊迫感。
短訊網絡釣魚(smishing)短訊或即時通訊應用程式的訊息可能包含網站連結或欺詐性電子郵件或電話號碼的跟進提示。
電子郵件網絡釣魚是最傳統的網絡釣魚方法,攻擊者使用電子郵件來敦促你回覆或通過其他方式跟進。這種方法可能使用網站連結、電話號碼或惡意軟件附件。
社交網站釣魚的發生地方是社交媒體,攻擊者會冒充值得信任的公司的客戶服務團隊。他們會攔截你與品牌的通訊,從而劫持並將你的對話轉移到私人訊息中,然後對你進行攻擊。
搜尋引擎網絡釣魚會嘗試將指向虛假網站的連結放在搜尋結果的頂部。這些可能涉及付費廣告或使用合法的優化方法來操控搜尋排名。
網址網絡釣魚連結誘使你前往網絡釣魚的網站。這些連結通常透過電子郵件、短訊、社交媒體消息和網上廣告形提供。攻擊使用連結縮短工具或欺騙性拼寫的網址隱藏超在連結文字或按鈕中的連結。
會話網絡釣魚以打斷你的正常網頁瀏覽的方式出現。例如,你可能會在瀏覧當前的網頁時看到虛假的登入彈出視窗。
誘餌攻擊
誘餌攻擊利用你天生的好奇心,哄騙你令自己暴露於攻擊者的騙局。通常,會使用免費或獨家的物品來對你進行操控。攻擊通常涉及使用惡意軟件來感染你的設備。
流行的誘餌方法包括:
- 刻意遺留在如圖書館和停車場等公共場所的 USB 隨身碟。
- 電子郵件附件包括有關免費優惠或欺詐性免費軟件的詳細資訊。
實體漏洞攻擊
實體漏洞涉及攻擊者親身出現,冒充合法的人來存取未經授權區域或資訊。
這種性質的攻擊最常見於企業環境,例如政府、企業或其他機構。攻擊者可能會冒充為知名公司、受信任供應商的代表。一些攻擊者甚至可能是對他們的前僱主懷有仇恨的最近被解僱員工。
他們將身份變得模糊,但足以令人信服來避免出現問題而被人發覺。攻擊者需要進行一些研究,並且涉及頗高的風險。因此,如果有人嘗試利用這種方法,他們應已經確定了如果成功將可以獲得非常有價值的潛在獎勵。
藉口攻擊
藉口攻擊是使用欺騙性身份作為建立信任的「藉口」 ,例如直接冒充供應商或設施員工。這個方法需要攻擊者更主動地與你進行互動。當他們說服你相信他們是合法的,隨之而來的就是利用你的信任進行入侵。
尾隨攻擊
尾隨或背靠背攻擊是指尾隨授權工作人員進入限制存取區域的行為。攻擊者可能會利用社交禮儀來令你為他們開門,或者說服你他們也有權進入該區域。在這種攻擊中也可能會包含「藉口」攻擊方式。
交換條件攻擊
交換條件是一個術語,大概的意思是「互相幫忙」,在網絡釣魚的背景下,這意味著你以個人資訊來交換一些獎勵或其他補償。提供贈品或邀請參與調查可能會令你遭遇此類攻擊。
此操控方式是首先令你覺得只需付出少許投資就能獲得有價值的東西而感到興奮。但是,攻擊者只想獲取你的資料,不會真得向你提供獎勵。
DNS 欺騙和快取記憶體中毒攻擊
DNS 是指當你輸入合法網址時,會操控你的瀏覽器和網絡伺服器並轉往惡意網站。一旦感染此病毒,除非從所涉及的系統中清除不準確的路由數據,否則將不斷被重新轉向到惡意網站。
DNS 快取記憶體中毒攻擊專門針對合法網址或多個網址使用路由指令來感染你的設備,從而連接到欺詐網站。
恐嚇軟件攻擊
恐嚇軟件是一種惡意軟件,用於嚇唬你採取行動。這種欺騙性惡意軟件使用令人震驚的警告,向你報告虛假的惡意軟件感染或聲稱你的某個帳戶已被入侵。
之後,恐嚇軟件會催迫你購買欺詐性網絡安全軟件,或洩露你的帳戶憑據等私人詳細資訊。
水坑攻擊
水坑攻擊使用惡意軟件感染熱門的網頁,從而一次影響大量的使用者。利用這種方法的攻擊者需要仔細規劃以找到出特定網站的弱點。他們會尋找未知和未修補的現有漏洞 -- 這些漏洞被視為零日漏洞。
而在其他情況,他們可能發現網站尚未為修補已知問題而更新基礎結構。網站擁有者可能選擇了延遲軟件更新,以便能繼續使用他們現有的穩定版本軟件。他們會在較新版本經過驗證並顯示系統能穩定運行後才會切換。黑客會利用這種行為來針對最近需要修補的漏洞。
非常用的社會工程方法
在某些情況下,網絡犯罪分子使用複雜的方法來完成他們的網絡攻擊,包括:
- 傳真網絡釣魚:銀行的客戶收到一封聲稱來自銀行的虛假電子郵件,並要求客戶確認他們的存取密碼 -- 確認方法不是透過平常的電子郵件/互聯網方式。相反,客戶被要求打印電子郵件中的表格,然後填寫他們的詳細資訊並將表格傳真到網絡犯罪分子的電話號碼。
- 傳統郵件惡意軟件傳播:在日本,網絡犯罪分子使用送貨上門服務傳播感染了間諜木馬程式的 CD。這些磁碟會被送交到一間日本銀行的客戶。客戶的地址之前已從銀行的資料庫中被盜取。
社會工程攻擊例子
惡意軟件攻擊值得特別關注,因為它們很常見並且會產生長期影響。
惡意軟件創造者會使用社會工程技術來引誘粗心的使用者啟動受感染的檔案或打開指向受感染網站的連結。很多電子郵件蠕蟲和其他類型的惡意軟件都使用這些方法。如果你沒有使用適用於你的流動和桌面設備的全面安全軟件套件,就可能會受到感染。
蠕蟲攻擊
網絡犯罪分子的目的是要吸引使用者看到某個連結或受感染檔案,然後促使他們點擊它。
此類攻擊的例子包括:
- 情書蠕蟲在 2000 年使很多公司的電子郵件伺服器超負荷。受害者收到一封電子郵件,邀請他們打開隨附的情書。當他們打開附件時,蠕蟲會自我複製到受害者通訊錄中的所有聯絡人。就其造成的經濟損失而言,這種蠕蟲病毒仍然被認為是最具破壞性的蠕蟲之一。
- Mydoom 電子郵件蠕蟲於 2004 年 1 月出現在互聯網上,它使用了模仿郵件伺服器發出的技術訊息的文字。
- 斯文蠕蟲會偽裝成從 Microsoft 發送的訊息。它聲稱附件是一個修補程式,可以消除 Windows 漏洞。毫不意外地很多人認真對待這一聲明並嘗試安裝虛假的安全修補程式 -- 即使它確實是蠕蟲病毒。
惡意軟件連結的傳遞渠道
指向受感染網站的連結可以透過電子郵件、ICQ 和其他即時通訊系統發送,甚至通過 IRC 互聯網聊天室發送。手機病毒通常透過短訊傳遞。
無論使用哪種傳遞方式,訊息通常都會包含引人注目或有趣的字詞,鼓勵毫無戒心的使用者點擊連結。這種滲透系統的方法可以讓惡意軟件繞過郵件伺服器的防病毒篩檢程式。
點對點(P2P)網絡攻擊
P2P 網絡也用於傳播惡意軟件。蠕蟲或木馬病毒會在 P2P 網絡上出現,但會以可能引起注意和吸引使用者下載並啟動檔案的方式來命名。例如:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Play Station emulator crack.exe
羞辱受感染的使用者以避免報告攻擊
在某些情況下,惡意軟件創造者和傳播者會採取措施降低受害者報告感染的可能性:
受害者可能會對獲得免費實用程式的虛假提議或承諾提供非法利益的指引作出回應,例如:
- 免費上網或流動通訊服務。
- 下載信用卡號產生器的機會。
- 一種可增加受害者網上帳戶餘額的方法。
在這些情況下,當發現下載的檔案含有木馬病毒時,受害者會切法避免披露自己的非法意圖。因此,受害者可能不會向任何執法機構報告受到感染。
使用此技術的一個例子是將木馬病毒發送到從招聘網站獲得的電郵地址。在網站上註冊的人收到了虛假的工作機會訊息,但這些工作機會訊息包含了木馬病毒。該攻擊主要針對公司電郵地址。網絡犯罪分子知道收到木馬程式的員工不想告知其僱主他們正在尋找另一份工作時受到感染。
如何發現社會工程攻擊
防禦社會工程需要你練習自我意識。在做任何事情或作出回應之前,必須放慢腳步,三思而後行。
攻擊者希望你在考慮風險之前採取行動,而你應該做相反的事情。為了幫助你,如果你懷疑受到攻擊時,請問自己以下一些問題:
- 我是否情緒高漲?當你特別好奇、恐懼或興奮時,你不太可能會評估自己行為的後果。事實上,你可能不會考慮向你展示的情況的合法性。如果你的情緒高漲,請考慮這可能是一個危險訊號。
- 此郵件是否來自合法發件者?收到可疑訊息時,請仔細檢查電郵地址和社交媒體的背景資料。可能存在模仿其他字元的字元,例如「torn@example.com」而不是「tom@example.com」。複製你朋友的照片和其他詳細資訊的虛假社交媒體個人檔案也很常見。
- 我的朋友真的向我發送這個訊息嗎?總是詢問寄件者是否相關郵件的真正寄件者是最好的辦法。無論是同事還是你生活中的其他人,如果可能的話,請親自或透過電話詢問他們。他們可能被黑客入侵而不知道,或者有人可能冒充他們的帳戶。
- 我正在瀏覧的網站是否有奇怪的細節?網址中的奇怪內容、差劣的圖像質素、公司標誌陳舊或不正確以及網頁拼寫錯誤都可能是欺詐性網站的危險訊號。如果你進入了欺騙性網站,請務必立即離開。
- 這個優惠似乎太好,令人難以置信嗎?對於提供贈品或其他針對性的方法,優惠是推動社會工程攻擊的強大動力。你應該想想為甚麼有人會向你提供一些有價值的物品,而他們卻沒有得到任何好處。始終保持警惕,因為即使是像你的電郵地址這樣的基本資料也可能被收集並出售予令人討厭的廣告商。
- 附件或連結是否有可疑?如果連結或檔名在訊息中顯得模糊或奇怪,請重新考慮整個通訊的真實性。此外,請考慮訊息本身是否在奇怪的情況或時間下向你發送,是否出現任何其他危險訊號。
- 這個人能證明自己的身份嗎?如果你無法驗證他們在該機構中的身份,而他們聲稱自己屬於該機構,你就不應賦予他們請求的存取權限。這種考慮適用於面對面和網上的溝通,因為實體入侵也需要你忽略攻擊者的身份。
如何防止社會工程攻擊
除了發現攻擊之外,你還可以主動保護你的私隱和安全。知道如何防止社會工程攻擊對所有手機和電腦使用者都非常重要。
以下是防範所有類型的網絡攻擊的一些重要方法:
安全的溝通和帳戶管理習慣
網上交流是你特別容易受到攻擊的地方。社交媒體、電子郵件、短訊是常見的目標,但你也需要考慮面對面的互動。
切勿點擊任何電子郵件或訊息中的連結 .無論寄件者是誰,你必須永遠在位址欄中手動輸入網址。但是,請採取額外的調查步驟來查找相關網址的正式版本。切勿使用任何未經你驗證為官方或合法的網址。
使用多因素身份驗證。除了密碼外還使用其他方法來保護網上帳戶有助提升安全。多因素身份驗證添加了一層在你登入帳戶時驗證你身份的額外保護。這些「因素」可能包括指紋或面部識別等生物識別技術,或透過短訊發送臨時密碼。
使用強密碼(和密碼管理器)。你的每個密碼都應該是唯一且複雜的。請使用多種類型的字元,包括大寫、數字和符號。此外,請盡可能選擇更長的密碼。為了幫助你管理所有自訂密碼,你可能需要使用密碼管理器來安全地儲存和記住它們。
避免分享你的學校、寵物的名稱、出生地或其他個人詳細資訊。你可能會在不知不覺中暴露安全問題的答案或部分密碼。如果你將安全問題設定為容易記住但不準確的模樣,那麽犯罪分子就更難破解你的帳戶。如果你的第一輛車是「豐田」,將它寫成「醜陋小車」這樣的謊言可能令黑客完全無法窺探你的答案。
要非常謹慎地在網上交友。雖然互聯網是與世界各地的人們聯繫的好方法,但這是進行社會工程攻擊的常用方法。注意呈現出有操控或明顯濫用信任的線索和危險訊號。
安全的網絡使用習慣
受感染的網上網絡可能會被利用來進行背景研究的另一個漏洞。為避免你的資料被用來對付你,請對你連接到的任何網絡採取保護措施。
切勿讓陌生人連接到你的主要 Wi-Fi 網絡。在家中或工作場所,應提供訪客專用的 Wi-Fi 連接。這可確保你的主要加密密碼安全連接的安全並且不會被攔截。如果有人決定「竊聽」資訊,他們將無法竅探你和其他人想要保密的活動。
使用 VPN。如果在你的主網絡上的某人(有線、無線甚至流動)找到了攔截數據流動的方法,虛擬專用網絡 (VPN) 可以將他們拒之門外。VPN 是一種可在你使用的任何互聯網連接上為你提供私人加密「隧道」的服務。不僅保護你的連接避開不想有的監視,並且將你的數據保持匿名,從而無法透過 Cookie 或其他方式追溯到你的身份。
確保所有聯網設備和服務安全。很多人都知道要為流動和傳統電腦設備採用互聯網安全措施。但是,除了所有智能設備和雲端服務之外,保護你的網絡也同樣重要。確保保護經常被忽視的設備,如汽車資訊娛樂系統和家用網絡路由器。這些設備上的數據洩露可能會助長個人化的社交工程詐騙。
安全的設備使用習慣
保護設備與所有其他數碼行為一樣重要。利用以下提示保護你的手機、平板電腦和其他電腦設備:
使用全面的互聯網安全軟件。如果成功實施社交戰術,遭到惡意軟件感染是隨之而來的常見結果。為了對抗 rootkit、木馬程式和其他機械人,採用優質的互聯網安全解決方案非常重要,這將有助消除感染,以及幫助追蹤來源。
永遠不要在公共場合讓你的設備處於沒有保護的狀態。總是鎖上你的電腦和流動裝置,尤其是在工作時。在機場和咖啡店等公共場所使用設備時,必須好好保管。
儘快更新所有軟件。立即更新可為你的軟件提供必要的安全修補程式。當你跳過或延遲操作系統或應用程式的更新時,你將暴露於已知的安全漏洞中,令黑客有機對你進行攻擊。由於他們知道這是很多電腦和手機使用者的行為,所以你會成為社會工程惡意軟件攻擊的主要目標。
檢查你的網上帳戶是否存在已知的資料洩露。Kaspersky Premium 等服務會主動監測你的電郵地址是否存在新的和現有資料洩露。如果你的帳號包含在已知洩露的資料中,你將收到通知以及有關採取必需措施的建議。
防止社會工程從教育開始。如果所有使用者都能認識這些威脅,就能提升我們整體的社會安全。一定要透過與同事、家人和朋友分享你學到的知識來提高對這些風險的認識。